Trend Micro unterteilt die Sicherheitsverwaltung bei Deep Security in der Verwaltungskonsole in sechs Bereiche. Das Dashboard bietet einen schnellen Überblick zur aktuellen Sicherheitslage. Unter der Reiter Alerts werden die Details zur aktuellen Bedrohung eingeblendet. Events & "Reports zeigt die Historie der Angriffe und erlaubt den Aufbau von Berichten, die eine längeren Zeitraum überstreichen können. Unter Computers werden die verwalteten Systeme zusammengefasst. Die Sicherheitsregeln definiert der Administrator unter dem Reiter Policies. Der letzte Zweig Administration dient schließlich zur Verwaltung von Deep Security, dem Einrichten von Rollen und dergleichen.
Clients in Deep Security einbinden
Nach dem Setup von Deep Security müssen Sie das Sicherheits-Tool mit ihrer virtuellen Umgebung "vertraut" machen. Bei den traditionellen Administrationswerkzeugen für Server oder Desktops erfolgt dazu in der Regel zuerst ein Inventarisierungsprozess. Dies ist bei Deep Security und der Sicherheit der vSphere-Strukturen im Prinzip nicht anders.
In diesem ersten Schritt müssen Sie Deep Security unter Computers / New Computer anweisen, welche Systeme zu überwachen sind und was bei Sicherheitsverstößen passieren soll. Diese Inventarisierung kann durch Automatismen und Auslesen von Verzeichnissystemen oder weiteren Verwaltungskonsolen unterstützt sein. Für Testzwecke, oder wenn kein Zugriff auf diese zusätzlichen Verwaltungshilfen bestehen, können Sie die Rechner, die Sie der Umgebung hinzufügen wollen, auch manuell eingeben. In diesem Fall sind die Angaben des Rechners in eine Erfassungsmaske einzutippen.
Der "Rechner" in Sinne der Trend-Micro-Umgebung ist eine virtuelle Maschine oder ein physikalischer Server (mit Agent). Der bessere und schnellere Weg aber ist das Auslesen von bestehenden Verwaltungsumgebungen, in der die virtuellen Maschinen ohnehin bekannt und verwaltet werden. Dies kann beispielsweise das vCenter sein. Ferner können Sie hierbei auch die Inhalte des vCloud Director von VMware oder die EC2 von Amazon auslesen. Und schließlich verbleibt auch das Active Directory von Windows als Datenquelle für die Trend-Micro-Sicherheitssuite.
Policy bestimmen den Sicherheits-Level
Wenn ein Rechner das erste Mal neu in den Verwaltungskontext der Trend Micro Deep Security aufgenommen wird, muss der Anwender eine Policy dafür definieren. Diese Policy legt fest, welche Sicherheitseinstellungen für diesen neuen virtuellen Rechner gelten sollen. Diese Zuordnung der Policy zu einem virtuellen Rechner ist wahlfrei, und im Prinzip kann diese auch unterbleiben. Das würde aber zu Sicherheitslücken sorgen, daher sollte jedem Rechner im vSphere-Verbund eine Policy zugewiesen werden.
In der Policy werden alle Details zur Sicherheitsüberwachung der virtuellen Maschinen definiert. Um die Menge der Policies nicht zu weit aufzublähen, kann die Zuordnung selbstverständlich auch anhand von Computergruppen erfolgen. So lassen sich beispielsweise eigene Policies für Datenbankserver, Webserver, lokale Server in der privaten Cloud oder etwa Cublic-Cloud-Dienste damit gruppieren. Ferner sind Policies auch mehrstufig aufzubauen - sie unterliegen der Vererbung. Die Techniken der Vererbung, die ursprünglich im Zuge der objektorientieren Programmierung angewandt wurde, hält in Deep Security somit Einzug in die Sicherheitsverwaltung.
Durch die Vererbung von Policies lassen sich flexible Sicherheitsbäume aufbauen. So kann beispielsweise je eine Basis-Policy für Windows Server, Solaris-Systeme oder AIS definiert werden. Trend Micro unterstützt neben den Windows-basierten Systemen auch eine Vielzahl weitere Betriebssysteme, wie die erwähnten. Die Basis-Policy, die betriebssystemabhängig sein kann, wird dann durch die Vererbung um weitere spezielle Policies ergänzt. Eine Policy umfasst alle Sicherheitsdefinitionen für einen oder mehrere virtuelle Rechner. Dazu gehört jeweils eine Definition pro Sicherheitsmodul.
Die Sicherheitsmodule von Deep Security
Als Sicherheitsmodule kennt Trend Micro Deep Security den Virenscanner (Anti Malware), die Firewall, ein Intrusion-Prevention-System, die Überwachung der Integrität des Systems (Integrity Monitoring) und die Überwachung der Log-Dateien der Systeme (Log Inspection). Dies sind auch die Sicherheitsbausteine, die Deep Security umfasst.
In der Policy werden nun die jeweiligen Definitionen zu einer Gruppe, der Policy, zusammengefasst. Ein Webserver, der beispielsweise in der DMZ steht und daher von außen erreichbar sein wird, wird andere Sicherheitseinstellungen benötigen als ein nachgeschalter Datenbankserver, der von außen nicht zugänglich ist. Diese unterschiedlichen Anforderungen lassen sich durch jeweils spezifische Gestaltung der Policies und der integrierten Sicherheitsmodule abbilden. Die Zuordnung eines Rechners zu einer Policy kann, wie erwähnt, manuell vorgenommen werden. Besser und schneller aber ist die automatisierte Zuweisung. So kann beispielsweise festgelegt werden, dass ein Rechner, wenn er neu in den vSphere-Verbund aufgenommen wird, automatisch eine bestimme Policy erhält, die auf ihn angewandt wird.
Auf diese Weise soll verhindert werden, dass neu hinzukommende Systeme eine Sicherheitsbedrohung darstellen, weil noch keine Sicherheits-Policy für sie definiert wurde. Die Zuweisung einer Policy zu einem Rechner erfolgt unter dem Reiter Admin in der Deep-Security-Verwaltungskonsole. Hierbei gibt es zwei unterschiedliche Varianten: die regelmäßige Zuweisung durch reine Zeitsteuerung Schedule oder die Zuweisung infolge eines Ereignisses event-based. Die automatisierte Zuweisung eines neuen Rechners würde durch die Gruppe der "Event-basierten" Zuweisung erfolgen.
Alerts, Event und Reports
Unter der Gruppe der Alerts werden alle Systeme und Warnmeldungen eingeblendet. Dies sind all jene Ereignis oder Vorkommnisse, die möglicherweise eine Bedrohung erkennen lassen. Was als Alert eingruppiert wird, kann durch den Administrator bestimmt werden.
Trend Micro hat, wie auch bei den anderen Konfigurationseinstellungen unter Configure Alerts , bestmögliche Werte vordefiniert. Der Administrator kann hier aber auch bestimmen, dass beispielsweise eine bestimmte Menge an Ereignissen, wie etwa ankommende IP-Pakete, als Alert gewertet wird. Dies erlaubt beispielsweise, das "Grundrauschen" auf dem Netzwerk zu ignorieren, wenn aber ein definiertes Maß an Datenverkehr an einen bestimmten Port oder Server überschritten ist, diesen Traffic als Alert einzustufen.
All diese Ereignisse, ob Event, Alert oder Reports, lassen sich immer nach Computer oder Gruppen selektierten. Deep Security bietet so die Möglichkeit, jeweils einen einzelnen Rechner oder eben eine ganze Rechnergruppe genau zu betrachten.
Das Dashboard
Das Dashboard dient als Überwachungs-Cockpit. Es liefert einen schnellen und kompakten Überblick zur Sicherheitslage der virtuellen Landschaft. Um die Überwachung auf die jeweiligen Anforderungen bestmöglich anzupassen, kann das Dashboard wahlfrei über den Botton rechts oben Add/Remove Widgets… aufgebaut werden.
Standardmäßig, wenn Sie keine Änderungen an der Dashboard-Konfiguration vorgenommen haben, finden Sie darin eine Grafik zur Event History, den Bedrohungsstatus der Rechner, der Auslastung der System oder etwa der Alert History.
Über das Plus-Symbol neben dem Default-Bildschirm am oberen Rand der Ansicht lassen sich sehr einfach weitere Ansichten definieren. Darüber hinaus können Sie die Dauer, für die diese Ansichten gelten sollen, sehr einfach durch ein Auswahlmenü anpassen. Sie ist standardmäßig auf die letzten 24 Stunden eingestellt. Damit ist die Grundkonfiguration der Trend Micro Deep Security abgeschlossen. (hal)